TaskUs従業員によるコインベースの情報漏えいと隠蔽(いんぺい)疑惑が浮上
コインベース(Coinbase)の委託会社TaskUsの内部関係者が、69,000人以上のユーザーの機密データを盗み出し、4億ドル(約588億円)規模の詐欺計画を助長した疑いが浮上している。
新たに公開された裁判所の書類と州の記録により、世界最大クラスの仮想通貨取引所の一つコインベースで発生した大規模データ漏えいの詳細が明らかになった。裁判所への提出書類によると、コインベースの顧客サービス委託会社TaskUsの従業員が関与したとされるこの事件では、69,000人以上の顧客の機密データが漏えい。「The Comm」として知られる、若いサイバー犯罪者による緩やかなネットワークに所属するハッカーたちが、この大規模な計画を企て、コインベース従業員になりすまし、資金を窃取したとみられている。
2025年9月16日(火曜日)、集団訴訟の裁判所提出書類で、インド・インドールのTaskUs従業員であるアシタ・ミシュラ(Ashita Mishra)容疑者が、コインベース史上最大規模の情報漏えい事件の一つに関与していたことが明らかになった。訴状によると、同容疑者は個人の携帯電話を使用し、2024年9月から顧客の個人情報にアクセス。コインベースアカウントから社会保障番号、銀行口座情報、政府発行の身分証明書を撮影し、これらの画像を1枚200ドル(約29,400円)でハッカーに売却。多い時には1日に最大200件の口座のデータを入手していたことが判明している。
ハッカーはその後、電話やメールでコインベース従業員になりすまし、ユーザーを騙して資金を送金させている。書類によると、一部の顧客は退職金全額を失ったという。なお、TaskUsは情報漏えいを隠蔽したとして告発され、捜査中に従業員226人と人事チームを解雇した。
コインベースによって明らかになった被害内容
コインベースは、メイン州の規制当局に提出したデータ侵害通知において、今回のインシデントの範囲を明らかにしている。
- 影響を受けた人数⇒69,461人
- 影響を受けたメイン州住民⇒217人
- 侵害発生日⇒2024年12月26日
- 発見日⇒2025年5月11日
- 原因⇒内部従業員による不正行為
- 通知方法⇒書面通知、2025年5月30日送付
- 個人情報保護サービス⇒IDXによる1年間の無料信用情報監視および個人情報復旧サービス
なお、この通知は、コインベースの外部顧問であるLatham & Watkins LLPのマイケル・ルービン(Michael Rubin)弁護士によって提出されている。
別のSEC提出書類において、コインベースは、修復費用と顧客への自主的な返金費用の総額を1億8,000万ドル(約264.8億円)から4億ドル(約588.4億円)と見積もっており、同社によるとこの数字は補償請求や回収の可能性に応じて増減する可能性があるとのことだ。
TaskUsによる隠蔽疑惑
訴訟によると、TaskUsは2025年1月に不正行為を把握していたものの、漏えいを公表する代わりに300人以上の従業員を解雇し、社内調査チームを解散することで被害を封じ込めようとしたという。
原告はTaskUsを過失、詐欺、契約違反で訴えている。TaskUsは当初、漏えいは「2人の個人」によるものと軽視。しかし捜査当局は、この計画にはより広範な従業員と管理者のネットワークが関与していたと主張している。
コインベースは、関与が疑われたTaskUsの従業員との関係を断ち切り、「不正な海外サポート担当者」が責任を負っていると述べ、同社は影響を受けたすべての顧客に無料の個人情報保護サービスを提供し、内部統制の強化を約束。侵害を規制当局に報告し、ベンダー管理を強化し、TaskUsとの提携を解消したと発表し、逮捕につながる情報提供者には2,000万ドル(約29.4億円)の報奨金を提示した。
しかし、被害者は依然としてリスクにさらされており、訴状によると、詐欺行為は依然として続いており、自宅住所や銀行口座の詳細が漏えいしたことで、一部の顧客は身体的な危害を恐れていると指摘されている。
